UNC1151是疑似具有东欧国家背景的APT团伙,该APT组织与“Ghostwriter”攻击活动相关。2020年,国外安全厂商Mandiant(前身为FireEye)披露“Ghostwriter”攻击活动[1]。该活动至少自 2017 年 3 月开始,行动主要针对立陶宛、拉脱维亚和波兰等国,攻击者在这些国家散播具有反北约组织(NATO)立场观点的内容,攻击者通常借助网站入侵和伪造电子邮件账号传播虚假内容,伪造的内容还包括来自军方官员的虚假信件。此后,Mandiant观察到UNC1151组织发起与“Ghostwriter”相似的攻击活动,攻击活动涉及波兰官员和德国政客,Mandiant认为UNC1151组织为一个新的APT组织[2]。2021年11月,Mandiant发布报告将该组织归属于东欧某国政府[3]。
2022年2月,俄乌冲突爆发后,乌克兰计算机应急响应小组(CERT-UA)和乌克兰国家特殊通讯和信息保护局(SSSCIP Ukraine)发布钓鱼邮件警报,警报涉及 UNC1151针对乌克兰武装部队成员的私人电子邮件账户的广泛网络钓鱼活动。3月1日,Proofpoint披露攻击者利用疑似被窃取的乌克兰军队人员邮箱,向参与管理逃离乌克兰的难民后勤工作的欧洲政府人员发起钓鱼攻击[4],攻击手法与UNC1151此前攻击活动相似。
概述近日,奇安信威胁情报中心红雨滴团队在社交平台上发现有安全研究员发布一个针对乌克兰的攻击样本。
乌克兰CERT也于3月7日发布通告,将该攻击样本归属为UNC1151[5]。该样本使用的攻击手法与UNC1151之前被披露的攻击手法有些不同。经过深入挖掘,我们发现此类攻击样本至少从2021年9月开始出现,攻击目标涉及乌克兰、立陶宛等国,同时在早期样本中发现了与UNC1151历史攻击活动的相似之处。
样本信息本次获取的初始样本为довідка.zip,“довідка”是乌克兰语“证书”的意思,压缩包内部为dovidka.chm,chm全称Compiled Help Manual,是微软新一代的帮助文件格式,利用HTML作源文,把帮助内容以类似数据库的形式编译储存,也就是被编译并保存在一个压缩的HTML格式。当我们双击文件时,微软默认使用HTML帮助执行程序打开并显示相关内容。
诱饵内容为一张图片,图片顶部为乌克兰总统办公室,乌克兰内阁以及乌克兰安全的标志,标题翻译为中文为“我该怎么办?。图片中的具体内容为“有关战争的一些安全建议”。当我们打开此文件时会执行HTML代码,解压缩dovidka.chm得到内嵌的html代码。
样本分析 HTMLHTML中包含两段代码,一段为js代码,用于显示诱饵内容,另一段为vbs代码。vbs代码经过混淆,执行的功能主要为释放ignit.vbs并调用WScript.exe执行。
VBS释放的ignit.vbs也经过混淆,主要执行三个函数,分别释放core.dll, desktop.ini, Windows Prefetch.lnk。
desktop.ini调用“C:WindowsMicrosoft.NETFrameworkv4.0.30319regasm.exe”加载core.dll
Windows Prefetch.lnk 用于持久化。
core.dll…